dnstap brief intro and update
play

dnstap (brief intro and update) Merike Kaeo - PowerPoint PPT Presentation

Feb 08, 2023 •282 likes •420 views

dnstap (brief intro and update) Merike Kaeo merike@interne6den6ty.com NANOG61 - DNS Track dnstap What is it? High speed DNS logging without

  1. dnstap ¡ (brief ¡intro ¡and ¡update) ¡ Merike ¡Kaeo ¡ merike@interne6den6ty.com ¡ NANOG61 ¡-­‑ ¡DNS ¡Track ¡

  2. dnstap ¡– ¡What ¡is ¡it? ¡ • High ¡speed ¡DNS ¡logging ¡without ¡packet ¡capture ¡ ¡ – Encoding ¡uses ¡Protocol ¡Buffers ¡ ¡ • Binary ¡clean ¡ • Efficient ¡encoding ¡ • Extendable ¡ • Implementa6ons ¡available ¡for ¡many ¡programming ¡languages ¡ • Schema ¡file: ¡ – hVps://github.com/dnstap/dnstab.pb/blob/master/ dnstap.proto ¡ NANOG61 ¡-­‑ ¡DNS ¡Track ¡

  3. Why ¡create ¡dnstap? ¡ • Frustra6on ¡with ¡certain ¡limita6ons ¡in ¡packet ¡ capture ¡approach ¡to ¡passive ¡DNS ¡replica6on ¡ • Issues ¡found ¡in ¡DNS-­‑intensive ¡analysis ¡of ¡pcap ¡ data ¡ – Bailiwick ¡reconstruc6on ¡ ¡ – UDP ¡fragment ¡reassembly ¡ – UDP ¡checksums ¡ – TCP ¡stream ¡reassembly ¡ – DNS ¡query/response ¡matching ¡ NANOG61 ¡-­‑ ¡DNS ¡Track ¡

  4. Two ¡specific ¡use ¡cases ¡ • Query ¡Logging ¡ – Make ¡it ¡faster ¡by ¡elimina6ng ¡boVlenecks ¡like ¡text ¡ forma^ng ¡and ¡synchronous ¡I/O ¡ • Passive ¡DNS ¡replica6on ¡ – Avoid ¡complicated ¡state ¡reconstruc6on ¡issues ¡by ¡ capturing ¡messages ¡instead ¡of ¡packets ¡ • Able ¡to ¡support ¡both ¡use ¡cases ¡with ¡the ¡same ¡ generic ¡mechanism ¡ NANOG61 ¡-­‑ ¡DNS ¡Track ¡

  5. dnstap ¡– ¡Some ¡of ¡the ¡how ¡ • Add ¡a ¡lightweight ¡message ¡duplica6on ¡facility ¡ directly ¡into ¡the ¡DNS ¡server ¡ – Verba6m ¡wire-­‑format ¡DNS ¡messages ¡with ¡context ¡ • Use ¡a ¡fast ¡logging ¡implementa6on ¡that ¡ doesn’t ¡degrade ¡performance ¡ – Circular ¡queues ¡ – Asynchronous, ¡buffered ¡I/O ¡ – Prefer ¡to ¡ drop ¡log ¡payloads ¡instead ¡of ¡ blocking ¡ the ¡server ¡under ¡load ¡ NANOG61 ¡-­‑ ¡DNS ¡Track ¡

  6. dnstap ¡– ¡Message ¡Types ¡ • Present ¡ • Prospec6ve ¡ – Stub ¡{Q,R} ¡ – RRL ¡bucket ¡{Start,End} ¡ – Authorita6ve ¡{Q,R} ¡ – Zone ¡Transfer ¡in ¡{S,E} ¡ – Resolver ¡{Q,R} ¡ – Zone ¡Transfer ¡out ¡{S,E} ¡ – Client ¡{Q,R} ¡ – Cache ¡Purge ¡(LRU) ¡ – Forwarder ¡{Q,R} ¡ – Cache ¡Expiry ¡(TTL) ¡ NANOG61 ¡-­‑ ¡DNS ¡Track ¡

  7. dnstap-­‑enabled ¡DNS ¡server ¡ NANOG61 ¡-­‑ ¡DNS ¡Track ¡

  8. dnstap ¡Components ¡ • Flexible, ¡structured ¡log ¡format ¡for ¡DNS ¡ sofware ¡ • Helper ¡libraries ¡for ¡adding ¡support ¡to ¡DNS ¡ sofware ¡ • Patch ¡sets ¡that ¡integrate ¡dnstap ¡support ¡into ¡ exis6ng ¡DNS ¡sofware ¡ • Capture ¡tools ¡for ¡receiving ¡dnstap ¡messages ¡ from ¡dnstap-­‑enabled ¡sofware ¡ NANOG61 ¡-­‑ ¡DNS ¡Track ¡

  9. Advantages ¡of ¡dnstap ¡ ¡ ¡ • Extensible ¡and ¡can ¡offer ¡mechanism ¡into ¡more ¡ detailed ¡nameserver ¡instrumenta6on ¡ ¡ – A ¡way ¡to ¡easily ¡audit ¡the ¡records ¡that ¡have ¡been ¡ received ¡ and ¡accepted ¡ by ¡a ¡recursive ¡DNS ¡server ¡into ¡ its ¡cache ¡ – Visibility ¡into ¡a ¡new ¡NS ¡RRset ¡overwri6ng ¡an ¡already ¡ exis6ng ¡NS ¡RRset ¡for ¡the ¡same ¡name ¡ • Vendor ¡Neutral ¡ – Implemen6ng ¡dnstap ¡support ¡in ¡mul6ple ¡pieces ¡of ¡ DNS ¡sofware ¡at ¡once ¡to ¡make ¡sure ¡the ¡same ¡dnstap ¡ message ¡means ¡the ¡same ¡thing ¡regardless ¡of ¡which ¡ sofware ¡generated ¡it. ¡ NANOG61 ¡-­‑ ¡DNS ¡Track ¡

  10. Con6nued ¡Outreach ¡ • Speaking ¡with ¡varying ¡DNS ¡vendors ¡to ¡gauge ¡ recep6veness ¡to ¡integrate ¡dnstap ¡support ¡into ¡ their ¡sofware ¡ • Ini6al ¡proof ¡of ¡concept ¡with ¡Unbound ¡ • CZ.NIC ¡has ¡already ¡implemented ¡dnstap ¡ support ¡in ¡the ¡knot ¡development ¡tree ¡ – hVps://gitlab.labs.nic.cz/labs/knot ¡ NANOG61 ¡-­‑ ¡DNS ¡Track ¡

  11. Feedback ¡Wanted ¡ • DNS ¡operators ¡interested ¡in ¡running ¡their ¡DNS ¡ servers ¡with ¡dnstap ¡features ¡enabled ¡ • DNS ¡implementors ¡interested ¡in ¡adding ¡ dnstap ¡features ¡to ¡their ¡implementa6ons ¡ • DNS ¡researchers ¡interested ¡in ¡consuming ¡ dnstap-­‑formaVed ¡data ¡ • All ¡feedback ¡will ¡be ¡used ¡to ¡help ¡set ¡ development ¡priori6es….. ¡ NANOG61 ¡-­‑ ¡DNS ¡Track ¡

  12. Addi6onal ¡Informa6on ¡ • hVp://dnstap.info ¡[defini6ve ¡source] ¡ – dnstap.info/slides/dnstap_nanog60.pdf ¡ – dnstap.info/slides/dnstap_oarc2014_warsaw.pdf ¡ • Robert ¡Edmonds ¡(edmonds@fsi.io) ¡ NANOG61 ¡-­‑ ¡DNS ¡Track ¡

Recommend

dnstap: introduction and status update Robert Edmonds (edmonds@fsi.io) Farsight Security, Inc.

dnstap: introduction and status update Robert Edmonds (edmonds@fsi.io) Farsight Security, Inc.

dnstap: introduction and status update Robert Edmonds (edmonds@fsi.io) Farsight Security, Inc. URL http://dnstap.info Documentation Presentations Tutorials Mailing list Downloads Code repositories dnstap Slide 2 of

336 views • 18 slides
dnstap-whoami Robert Edmonds (edmonds@fsi.io) Farsight Security, Inc. Intro DNS nameservers

dnstap-whoami Robert Edmonds (edmonds@fsi.io) Farsight Security, Inc. Intro DNS nameservers

dnstap-whoami Robert Edmonds (edmonds@fsi.io) Farsight Security, Inc. Intro DNS nameservers that return custom responses Diagnostics Experimentation Result passed through to the original client Examples: DNS whoami

265 views • 25 slides
dnstap : high speed DNS logging without packet capture Robert Edmonds (edmonds@fsi.io) Farsight

dnstap : high speed DNS logging without packet capture Robert Edmonds (edmonds@fsi.io) Farsight

dnstap : high speed DNS logging without packet capture Robert Edmonds (edmonds@fsi.io) Farsight Security, Inc. URL http://dnstap.info Documentation Presentations Tutorials Mailing list Downloads Code repositories

695 views • 42 slides
The 'dnstap' Approach Dr. Paul Vixie, CEO Farsight Security, Inc. 2014-01-16 Charleston, SC

The 'dnstap' Approach Dr. Paul Vixie, CEO Farsight Security, Inc. 2014-01-16 Charleston, SC

Passive DNS Collection and Analysis The 'dnstap' Approach Dr. Paul Vixie, CEO Farsight Security, Inc. 2014-01-16 Charleston, SC Importance of Measuring DNS High volume low latency datagram protocol sie-xyzzy1 547,128,709,757 bytes,

323 views • 17 slides
Passive DNS Collection and Analysis The 'dnstap' (& fstrm) Approach Farsight Security, Inc.

Passive DNS Collection and Analysis The 'dnstap' (& fstrm) Approach Farsight Security, Inc.

Passive DNS Collection and Analysis The 'dnstap' (& fstrm) Approach Farsight Security, Inc. December 2014 Importance of Measuring DNS High volume low latency datagram protocol Channel 202; 40 sources; 1,657,398,226,932 bytes/day;

196 views • 19 slides
dnstap : high speed DNS logging without packet capture Jeroen Massar Farsight Security, Inc.

dnstap : high speed DNS logging without packet capture Jeroen Massar Farsight Security, Inc.

dnstap : high speed DNS logging without packet capture Jeroen Massar Farsight Security, Inc. Unifying the Global Response to Cybercrime Credits & More Info Design & Implementation: Robert Edmonds <edmonds@fsi.io> Website:

786 views • 40 slides
Emory Research A to Z ERAZ May 19, 2016 Agenda FGC Intro/Update PMS Transition Update

Emory Research A to Z ERAZ May 19, 2016 Agenda FGC Intro/Update PMS Transition Update

Emory Research A to Z ERAZ May 19, 2016 Agenda FGC Intro/Update PMS Transition Update RAE Program Update RAS Update Announcements ERAZ: July 21, 2016 9:30-11:00am WHSCAB Auditorium - 1440 Clifton Road NE, 1st Floor

574 views • 31 slides
INTRO: What is a MOOD BOARD? What is it? INTRO: Why are they Used? INTRO: Things to Consider

INTRO: What is a MOOD BOARD? What is it? INTRO: Why are they Used? INTRO: Things to Consider

INTRO: What is a MOOD BOARD? What is it? INTRO: Why are they Used? INTRO: Things to Consider INTRO: How to make it? What is it: physical or digital What is it: Scrapbooking What is it: collection of ingredients for a meal What is it: A

379 views • 20 slides
Financial Crime update 12 September 2017 1 GFSC Intro MONEYVAL overview by the

Financial Crime update 12 September 2017 1 GFSC Intro MONEYVAL overview by the

Financial Crime update 12 September 2017 1 GFSC Intro MONEYVAL overview by the National Coordinator Representative Update since March Whats next Questions/Comments 22 September 2017 2 FSC Industry Outreach

562 views • 31 slides
SUIT-based firmware update architecture Emmanuel Baccelli Kaspar Schleiser Koen Zandberg

SUIT-based firmware update architecture Emmanuel Baccelli Kaspar Schleiser Koen Zandberg

SUIT-based firmware update architecture Emmanuel Baccelli Kaspar Schleiser Koen Zandberg Outline Intro Update architecture overview Device Software Components Bootloader Project Ideas Intro 32/16/8 bit MCU

371 views • 22 slides
TDR Plots Elizabeth Worcester LBL PWG Meeting May 13, 2019 1 Intro Brief update with new

TDR Plots Elizabeth Worcester LBL PWG Meeting May 13, 2019 1 Intro Brief update with new

TDR Plots Elizabeth Worcester LBL PWG Meeting May 13, 2019 1 Intro Brief update with new plots since last week Plots unchanged from last week at the end 2 CPV Standard Exposures Changed colors b/c green and orange overlay looked

316 views • 20 slides
Tech Law Update Spring 2019 By Jonathan Ward In Intro to IT IT Proje ject Disputes The

Tech Law Update Spring 2019 By Jonathan Ward In Intro to IT IT Proje ject Disputes The

Tech Law Update Spring 2019 By Jonathan Ward In Intro to IT IT Proje ject Disputes The typical scenarios Goods, services, or something else? The importance of categorisation Methodology, duties and cooperation Standard of

315 views • 19 slides
OER INTRO AND UPDATE OPEN EDUCATIONAL RESOURCES (OER) WHAT IS OER? Open Educational

OER INTRO AND UPDATE OPEN EDUCATIONAL RESOURCES (OER) WHAT IS OER? Open Educational

OER INTRO AND UPDATE OPEN EDUCATIONAL RESOURCES (OER) WHAT IS OER? Open Educational Resources Open Educational Resources are teaching, learning, and research resources that reside in the creative commons and/or public domain or

411 views • 11 slides
Lab 0 Objectives Intro to Labs Intro to Operating Systems Start Lab #0 UNIX/Linux

Lab 0 Objectives Intro to Labs Intro to Operating Systems Start Lab #0 UNIX/Linux

Lab 0 Objectives Intro to Labs Intro to Operating Systems Start Lab #0 UNIX/Linux intro Use jEdit (Text Editor) Create Web page Sakai (Forum for Broader Issues) Jan 8, 2019 Sprenkle - CSCI111 1 Intro to Labs

427 views • 18 slides
Hello! TaA - Beverly Chou - 1 What are we doing ? intro part one Intro to gear mechanisms.

Hello! TaA - Beverly Chou - 1 What are we doing ? intro part one Intro to gear mechanisms.

Hello! TaA - Beverly Chou - 1 What are we doing ? intro part one Intro to gear mechanisms. Explain common components/parts to each other. part two Group activity - Make a mechanism on paper! extra time Intro to mechanical advantage + some

764 views • 13 slides
Updates on e CC Selection Mike Wallbank 20/3/2017 Intro Gave an update at the CM (link),

Updates on e CC Selection Mike Wallbank 20/3/2017 Intro Gave an update at the CM (link),

Updates on e CC Selection Mike Wallbank 20/3/2017 Intro Gave an update at the CM (link), not much has changed in the selection since. Starting to better characterise the selection; Performance of the reconstruction.

389 views • 19 slides
Large-Scale Data Engineering Intro to LSDE, Intro to Big Data & Intro to Cloud Computing

Large-Scale Data Engineering Intro to LSDE, Intro to Big Data & Intro to Cloud Computing

Large-Scale Data Engineering Intro to LSDE, Intro to Big Data & Intro to Cloud Computing event.cwi.nl/lsde Administration Canvas Page Announcements, also via email (pardon html formatting) Turning in practicum assignments, Check

548 views • 27 slides
Large-Scale Data Engineering Intro to LSDE, Intro to Big Data & Intro to Cloud Computing

Large-Scale Data Engineering Intro to LSDE, Intro to Big Data & Intro to Cloud Computing

Large-Scale Data Engineering Intro to LSDE, Intro to Big Data & Intro to Cloud Computing event.cwi.nl/lsde Administration Canvas Page Announcements, also via email (pardon html formatting) Turning in practicum assignments,

706 views • 31 slides
Neutron captures update Pierre Lasorak, Aran Borkum & Tyler Alion 1 Intro/Content

Neutron captures update Pierre Lasorak, Aran Borkum & Tyler Alion 1 Intro/Content

Neutron captures update Pierre Lasorak, Aran Borkum & Tyler Alion 1 Intro/Content Neutrons from the surrounding rock are expected to create 100 Hz of capture in a 10 kT module. Been demonstrated that neutron captures is one of the

455 views • 12 slides
Cryptography Intro and RSA Well, a gentle intro to cryptography, followed by a description of

Cryptography Intro and RSA Well, a gentle intro to cryptography, followed by a description of

Cryptography Intro and RSA Well, a gentle intro to cryptography, followed by a description of public key crypto and RSA. Fall 2018 CS 222: Discrete Structures 1 Definition Cryptology is the study of secret writing Concerned with

681 views • 54 slides
Intro to Electronics Week 3 Intro to Electronics, Week 3 Last updated Oct. 24, 2012 1 Thanks

Intro to Electronics Week 3 Intro to Electronics, Week 3 Last updated Oct. 24, 2012 1 Thanks

Intro to Electronics Week 3 Intro to Electronics, Week 3 Last updated Oct. 24, 2012 1 Thanks to EMSL for the idea: http://www.evilmadscientist.com/article.php/nightlight Make a night light TODAYS P PROJECT Intro to Electronics, Week 3

647 views • 28 slides
MA/CSSE 473 Day 01 Course Intro Algorithms Intro Pick up a handout from the back table MA/CSSE

MA/CSSE 473 Day 01 Course Intro Algorithms Intro Pick up a handout from the back table MA/CSSE

MA/CSSE 473 Day 01 Course Intro Algorithms Intro Pick up a handout from the back table MA/CSSE 473 Day 01 In class Quizzes (NOT) Roll Call/Instructor quick intro Questions about the Syllabus? The importance of Data

353 views • 11 slides
MARRIAGE MINISTRY TALK - 730-735 Intro & about us / J: (3M) - INTRO SLIDE Hi everyone,

MARRIAGE MINISTRY TALK - 730-735 Intro & about us / J: (3M) - INTRO SLIDE Hi everyone,

MARRIAGE MINISTRY TALK - 730-735 Intro & about us / J: (3M) - INTRO SLIDE Hi everyone, and welcome! My name is Julie and this is my husband Drew. We are so happy and humbled to be leading the event this evening on Marriage, Scripture,

375 views • 9 slides
Welcome/Intro/my role in NW and Ncl. Welcome/Intro/my role in NW and Ncl. If I dont know the

Welcome/Intro/my role in NW and Ncl. Welcome/Intro/my role in NW and Ncl. If I dont know the

Welcome/Intro/my role in NW and Ncl. Welcome/Intro/my role in NW and Ncl. If I dont know the answer to anything Ill get back to you. Dont worry about writing down everything I say. Presentation and further guidance will be emailed to

753 views • 53 slides

More recommend